курс цб на 25.09:
57.6527
69.0737

Троян Neutrino безопасен для POS-терминалов, но не для рынка?

12 июля 2017 19:20 Количество просмотров1078 просмотров

Участники рынка оценивают недавнюю информацию о вирусных атаках POS-терминалов и делятся своим видением ситуации.

10 июля 2017 года Лаборатория Касперского распространила сообщение об активном появлении особой модификации трояна Neutrino, якобы атакующей POS-терминалы и компрометирующей данные банковских карт. Эта информация, получившая широкий резонанс в СМИ, обратила на себя наше пристальное внимание рядом логических несостыковок и заставила портал PLUSworld.ru провести собственное журналистское расследование. В первую очередь вызывает вопрос тот момент, что троян Neutrino отнесен к зловредам, атакующим ОС Windows. Как известно, под управлением этой ОС POS-терминалы (по крайней мере брендовые POS-терминалы) не работают. В таком случае, о чем в действительности может идти речь?


Обновленная информация: «Лаборатория Касперского» объяснила логические несостыковки несовершенством  профессиональной терминологической базы. По мнению компании, трояны опасны для касс ТСП.


Мы привлекли к обсуждению целый ряд авторитетных экспертов платежной индустрии, а также структуры, являющиеся ключевыми участниками рынка.

 ingenicoСпециалисты Ingenico Group:

«Троян Neutrino опасен только для терминалов оплаты (не путать с POS-терминалами) или банковских киосков самообслуживания с «банкоматной» ПИН-клавиатурой и «банкоматным» же считывателем карт. Кроме того, он может заражать еще кое-где функционирующие PC-POS’ы. Это терминалы для оплаты покупок банковскими картами, собранные на базе noname-ридера карт и обычного кассового компьютера под управлением Windows, которые используются для ввода карточных данных в кассу в тех случаях, когда на кассовом узле магазина установлен не интегрированный с ККМ POS-терминал.

В то же время этот вирус совершенно безвреден для владельцев банковских карт, которые пользуются обычными POS-терминалами, а также терминалами оплаты или же киосками банковского самообслуживания, которые оснащены встраиваемыми банковскими POS-терминалами, например, Ingenico iSelf.

Встраиваемые в киоски самообслуживания POS-терминалы Ingenico на уровне заводской прошивки оснащены аппаратными и программными системами защиты конфиденциальных данных по стандарту безопасности PCI PTS, и никакие конфиденциальные данные не выходят за пределы контура защиты терминала, а следовательно, они защищены от перехвата.
При этом совсем не важно, какая именно операционная система используется в самом киоске самообслуживания, Windows, Linux, Android и т. п.

Поэтому Ingenico Group рекомендует производителям терминалов оплаты и инфокиосков оснащать свое оборудование профессиональными средствами приема и валидации банковских карт. Это тот самый случай, когда начальная инвестиция в надежное защищенное оборудование будет работать на вас в течение долгих лет, привлекая лояльных пользователей и генерируя новые источники доходности».

pokrovskijЕвгений Покровский, глава представительства Verifone Russia:

 «Возможно, мы имеем дело с некоторой терминологической подменой, допущенной Лабораторией Касперского. Дело в том, что понятие «POS-терминал», обозначающее для участников платежной индустрии устройство для приема карточных платежей, иногда используют для тривиального обозначения кассового компьютера. Можно предположить, что именно о его заражении вирусом шла речь в сообщении Лаборатории Касперского. Компьютер кассы, большая часть из которых, как известно, управляется ОС Windows и, как обычный десктоп, действительно может быть заражен тем или иным трояном, с помощью которого преступники смогут похищать хранящиеся в нем данные. Но в этом случае возникает вопрос – каким образом в кассовый компьютер попадают карточные данные, которые, как известно, не могут покидать защищенной контур POS-терминала или PIN-пада. Ответ на него прост: это происходит при использовании торгово-сервисным предприятием ККМ, не интегрированной с POS-терминалом. В результате после проведения транзакции по карте с помощью защищенного сертифицированного платежного устройства кассиру необходимо внести ее данные в кассовую систему, что он и делает, прокатав магнитную полосу через встроенный в клавиатуру считыватель магнитной полосы карты. Данная операция противоречит требованиям PСI, поскольку считаные таким путем карточные данные хранятся в буфере обмена компьютерной клавиатуры и могут быть без труда скомпрометированы не только трояном, но и просто любым заинтересованным злоумышленником, имеющим физический доступ к кассе. В то же время подобная схема по-прежнему широко практикуется в России, что на фоне участившихся масштабных кибератак создает серьезные риски.

Однако вендоры POS-терминалов по понятным причинам не имеют к этой угрозе никакого отношения – ответственность здесь ложится скорее на производителей кассовых решений, допускающих реализацию таких небезопасных схем с внесением карточных данных в ККМ. Кроме того, возникают понятные вопросы к законодательным органам и регуляторам.

Так или иначе, но даже в этом случае зараженный трояном кассовый компьютер не может способствовать компрометации ПИН-кода – по той причине, что его значение клиенты вводят ПИН только на POS-терминале (в классическом понимании этого термина) либо на ПИН-паде».

lavruhinАлексей Лаврухин, директор по продуктам компании INPAS:

«Новость была подана как констатация факта: данный вирус уже (!) атаковал POS-терминалы. Мы в нашей терминальной сети и терминальных сетях банков, использующих наше оборудование и ПО, подобных атак не выявили. Как правильно вы заметили вирус отнесен к зловредам, атакующим OС Windows, под данной операционной системой наши терминалы не работают. При этом чтобы какая-то программа смогла запуститься на терминале, необходимо, чтобы она была подписана ключом производителя, плюс ее туда должен кто-то загрузить – «просто так» ни одно ПО не может быть передано или загружен на банковский терминал, только через контролируемый канал загрузки ПО.

Конечно же, на фоне последних новостей о хакерских атаках общество уже подогрето, и многие компании могут просто спекулировать на эту тему. Однако вариант заражения вирусом не POS-терминалов, а кассовых компьютеров возможен, и сейчас мы исследуем возможность перехвата данных при обмене данными банковского терминала с кассой. Однако все протоколы передачи данных соответствуют требованиям МПС и используют все необходимые алгоритмы и сертификаты шифрования.

Если в целом рассматривать вероятность вирусных кибератак на POS-терминалы, отмечу следующее.

Конечно же, там, где есть данные, которые могут позволить украсть деньги, там всегда будет высок риск атак. Посмотрите, как часто подвергаются атакам банкоматные сети. Рост безналичных платежей в магазинах, ресторанах и сервисных предприятиях также заставляет мошенников обращать внимание на эти сегменты. Но хочу отметить следующие хорошо известные моменты:

  1. Все POS-терминалы и ПО проходят жесткие стандарты сертификации МПС и международных сертификационных лабораторий.
  2. Схема управления программным обеспечением и установкой его на терминал имеет несколько степеней защиты, где участвуют подписи производителей, контроль канала загрузки, секьюрные области хранения данных, шифрование при передачи данных, невозможность загрузки стороннего ПО и т. д.
  3. Установкой терминалов занимаются сами банки или аккредитованные ими подрядчики. Это позволяет при установке и обслуживании избежать случаев вмешательства на каком-либо этапе внешних лиц, которые могут «подсунуть» что-то свое или установить на терминале какие-либо скимминговые устройства.
  4. При любом внешнем вмешательстве или попытке вскрытия терминал переходит в режим «Tamper», после чего никто кроме поставщика не может вывести устройство из данного режима. В своей совокупности эти меры позволяют успешно противостоять атакам на POS-терминальные сети. Ну и, конечно же, мы вместе с производителями, МПС, международными лабораториями не стоим на месте и регулярно повышаем степень защиты терминалов».

suhostavskijИгорь Сухоставский, генеральный директор компании «Терминальные Технологии»:

Обычная путаница понятий: POS-системы (кассы на базе компьютера) и POS-терминалы (специализированные устройства для приема платежей по банковским картам на базе Linux или проприетарных систем).

Стандартные (сертифицированные) POS-терминалы проверены международными лабораториями на устойчивость ко взлому, и методы их защиты усложняются с каждым днем. Вероятность массовой компрометации POS-терминалов незначительна.

Вероятно, что упомянутая Лабораторий Касперского проблема затрагивает кассовые аппараты со старым ПО, где банковский программный модуль работал на кассе, и к такой кассе подключали простой ПИН-пад и считыватель карт. В современных же кассовых системах вся функциональность по обработки данных карт осуществляется (или должна осуществляться) на интеллектуальном ПИН-паде, который сертифицирован на соответствие всем требованиям обеспечения безопасности. В зоне риска только системы с «доморощенной» лояльностью или элементами дополнительного учета, когда карта после оплаты на POS-терминале дополнительно прокатывается через магнитный ридер кассы (как это было некоторое время назад у одного крупного ритейлера) и у клиента нет возможности отказаться от такой «навязанной услуги».

Однозначно под риском оказываются киоски самообслуживания, значительная часть которых в России построены по примитивной схеме — PC (под WIN) + картридер + EPP для ввода ПИН-кода. Вся обработка данных карт (EMV-библиотека и хостовой модуль) выполнена в виде простой программы под WIN, и тут все данные открыты для злоумышленников.

Хотя ПИН тут не выходит за рамки EPP, но и его можно «добыть», так как давно известен метод, когда вредоносная программа запрашивает ПИН, переводя ПИН-пад в режим ввода простых цифр, а потом передает управление на настоящую программу.

Все вышесказанное относится и к банкоматам, где сердцем является PC под управлением WIN…

golenishhevАлексей Голенищев, директор Дирекции электронного бизнеса Альфа-Банка:

«Да, несколько противоречивое утверждение коллег из «Касперского» –POS-терминалы (именно терминалы, установленные в торговых сетях), ОС Windows не используют, и их, соответственно, не могут заражать вирусами. Скорее всего, коллеги оговорились и имели ввиду так называемые интеллектуальные кассы под ОС Windows, где этот вирус действительно может перехватывать данные треков 1, 2 из оперативной памяти (собственно, почему он плохо ловится антивирусами). Причем Neutrino работает только в том случае, если устройство, считывающие магнитную полосу карты, не осуществляет прямого обмена данными с банком-эквайрером, а передача данных происходит через подключенный к терминалу ПК.

Технически, как и любое «вычислительное устройство», POS-терминал, конечно же, может быть атакован, но даже если злоумышленникам и удастся получить таким способом данные карт (ПИН в любом случае не компрометируется!), они смогут их использовать только для изготовления подделок с магнитной полосой (использовать которые можно попытаться только на рынках США и стран Юго-Восточной Азии) и/или платежей в интернете (без возможности ввода пароля 3-DS), что во всех случаях довольно успешно выявляется антифродовыми системами, а во втором случае еще и легко оспаривается банком.

Neutrino  распространяется по РФ с марта 2017 года (а также по всему миру – уже достаточно давно).  В нашей сети атак с Neutrino не зафиксировано. Защита от таких атак – обычное ограничение прав на ПК, с мониторингом исходящего трафика, и запретом на установку на ПК какого-либо стороннего ПО.

А данную публикацию коллег можно скорее отнести к PR-статье, чем к оповещению о реальной угрозе. В наше экономически и финансово неспокойное время хотелось бы со стороны коллег, специализирующихся на ИТ-безопасности, наблюдать осторожное и корректное отношение к распространению подобной информации. Стоит воздерживаться от публичных заявлений (дабы напрасно не запугивать конечных потребителей продуктов и услуг), обсуждая и распространяя такую информацию в специализированных сообществах».

doshНиколай Дош, Ассоциация участников МастерКард:

«Когда я прочитал данную новость в одном из электронных изданий, возникло уже устоявшееся ощущение, что СМИ неверно интерпретируют информацию. Но, к своему удивлению, чуть позднее прочитал тоже самое и в первоисточнике.

Я бы не хотел вдаваться в технические подробности, но у любого специалиста, который понимает, что такое POS-терминал и как он работает, после прочтения данной новости возникает большое количество вопросов относительно ее полезности. Вполне возможно, что речь в статье шла о других устройствах, но тогда будьте любезны, назовите их правильно и не нужно наводить тень на плетень.

По моим наблюдениям, в последнее время рынку больше вреда наносят «вирусные» сообщения подобного характера, которые очень быстро распространяются в СМИ и наводят панику в сообществе. В связи с этим выражаю благодарность порталу PLUSworld.ru и журналу «ПЛАС», которое активно ведут борьбу с такого рода информационными заражениями».

Эта и другие темы будут обсуждаться на нашем Форуме «Банковское самообслуживание, ритейл и НДО 2017», посвящённому анализу современного состояния и перспективе развития наличного денежного обращения (НДО), банкинга и платежной индустрии в России и других странах мира,  который проводит журнал «ПЛАС». Форум пройдёт в Москве 4-5 октября 2017 года. Будем рады встрече с Вами на Форуме!

По материалам PLUSworld.ru




В рубриках:
Безопасность, Форум экспертов
  • Andry

    Прекрасно! Хоть кто-то разбирает на запчасти эти нелепые попытки пиара. Последний комментатор вообще отжигает, видимо накипело )))

Форум экспертов
Искусственный интеллект: какой основной функционал нужен онлайн-банкингу
Генеральный директор агентства БюроБюро Иван Кривушин  — о том, как по его мнению будет проходить диджитализация банковского сектора.
21 сентября 2017 15:27
Удаленная идентификация в онлайн-кредитовании: станет ли панацеей развитие VR-технологий?
Проблема удаленной идентификации клиентов в финансовой отрасли является одной из самых сложно решаемых. Крупные компании финтех-сферы готовы вкладывать в решение этой проблемы большие средства, но поиск объекта вложений ограничен довольно узким кругом технологий, имеющих необходимый потенциал. Кроме того, положительный эффект вложений в развитие той или иной технологии не гарантирован.
20 сентября 2017 13:03
Краудфандинг и краудинвестинг в России. Проблемы, которые можно решить с помощью блокчейна и не только
О проблемах практического финансирования в рамках краудфандинга и краудинвестинга в России и путях их решения порталу PLUSworld.ru рассказывает Денис Курильчик, генеральный директор ООО «МУЛЬТИПЕЙ».
19 сентября 2017 13:31
Лента новостей
Форум экспертов
Регуляторы ЦБ объявил о начале санации Бинбанка
21 сентября 2017 13:29
Количество просмотров 233 просмотра
Мероприятия Новые разработки на BIS Summit 2017
19 сентября 2017 12:01
Количество просмотров 210 просмотров
Мероприятия II CryptoBazar Pre-ICO Day в Москве
19 сентября 2017 11:01
Количество просмотров 184 просмотра
Банки и МФО Nordea уйдет с российского рынка?
19 сентября 2017 09:31
Количество просмотров 179 просмотров
Регуляторы ЦБ снизил ключевую ставку до 8,5%
15 сентября 2017 13:34
Количество просмотров 351 просмотр